Sử dụng BitLocker để mã hóa ổ

Sử dụng BitLocker để mã hóa ổTrong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống nhất hơn qua sử dụng các thiết lập chính sách nhóm. Các thiết lập mặc định trong Windows 7 cho phép người dùng có thể quyết định có nên mã hóa và khi nào mã hóa dữ liệu trên các ổ lưu trữ ngoài. Trong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật BitLocker theo một cách thống...
Nội dung trích xuất từ tài liệu:
Sử dụng BitLocker để mã hóa ổ Sử dụng BitLocker để mã hóa ổTrong phần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cáchthực thi bảo mật BitLocker theo một cách thống nhất hơn qua sử dụngcác thiết lập chính sách nhóm.Các thiết lập mặc định trong Windows 7 cho phép người dùng có thể quyếtđịnh có nên mã hóa và khi nào mã hóa dữ liệu trên các ổ lưu trữ ngoài. Trongphần hai của loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảomật BitLocker theo một cách thống nhất hơn qua sử dụng các thiết lập chínhsách nhóm.Trong phần một, chúng tôi đã giới thiệu cho các bạn cách sử dụng BitLockermột cách thủ công để mã hóa nội dung của ổ USB. Mặc dù thủ tục mà chúngtôi đã giới thiệu cho các bạn trong phần trước làm việc khá tốt, nhưng vẫncòn đó rất nhiều lựa chọn khác. Hãy hình dung trong trường hợp công ty củabạn có rất nhiều thông tin nhạy cảm trên các file dữ liệu. Lý tưởng mà nói,bạn chắc chắn sẽ muốn bảo vệ tất cả dữ liệu đó một cách an toàn. Tuy nhiêntrong thực tế, có nhiều nhân viên trong công ty bạn mà ở đó công việc của họyêu cầu phải truy cập vào một số dữ liệu nhất định, thậm chí khi họ khôngthể kết nối với mạng công ty.Một thứ nữa cần mang ra giả định cho tình huống ở đây là nhân viên của bạncó thể để quên USB của họ ở một nơi nào đó và bên trong USB đó chứa rấtnhiều dữ liệu khách hàng, khi đó sự mã hóa là bắt buộc phải có. BitLocker toGo có thể cung cấp kiểu mã hóa bạn cần thiết lúc này, tuy nhiên phương phápmã hóa mà chúng tôi đã giới thiệu cho bạn trong phần 1 của loạt bài lại yêucầu người dùng tự mã hóa các ổ lưu trữ USB của họ.Rõ ràng chúng ta không thể đặt công việc mã hóa này vào tay người dùng vàtin tưởng họ sẽ thực hiện tốt việc này. Để có tính khả thi hơn, chúng ta cầnphải đi tìm một phương pháp khác. Windows 7 và Windows Server 2008 R2có các thiết lập chính sách nhóm mà chúng ta có thể sử dụng để kiểm soátcách và thời điểm sử dụng mã hóa BitLocker.Group Policy Object Editor có chứa khá nhiều thiết lập Group Policy có liênquan đến mã hóa BitLocker, tuy nhiên có một thư mục có chứa thiết lập mãhóa BitLocker cho các thiết bị lưu trữ ngoài. Bạn có thể truy cập vào thư mụcnày tại Computer Configuration Administrative Templates WindowsComponents BitLocker Drive Encryption Removable Data Drives. Cóthể thấy các thiết lập chính sách nhóm bên trong thư mục này trong hình A. Hình A: Tất cả các thiết lập liên quan đến mã hóa thiết bị lưu trữ ngoài đều được lưu trong thư mục Removable Data DrivesKiểm soát sử dụng BitLocker trên các ổ lưu trữ ngoàiThiết lập Group Policy đầu tiên mà chúng tôi muốn giới thiệu là thiết lập“Control Use of BitLocker on Removable Drives”. Như tên ngụ ý của nó,thiết lập này cho phép bạn kiểm soát người dùng có được phép mã hóa thiếtbị lưu trữ ngoài bằng BitLocker hay không.Đơn giản nhất, vô hiệu hóa thiết lập này sẽ ngăn chặn được người dùng mãhóa thiết bị lưu trữ ngoài, trong khi đó họ sẽ có thể sử dụng BitLocker để mãhóa chúng nếu bạn không thực hiện gì cả.Nếu chọn vô hiệu hóa thiết lập chính sách nhóm, có hai tùy chọn khác để cóthể thiết lập. Tùy chọn đầu tiên trong số hai tùy chọn này là cho phép ngườidùng sử dụng sự bảo vệ của BitLocker trên các thiết bị lưu trữ ngoài haykhông. Rõ ràng tùy chọn này có đôi chút rườm rà nhưng lý do tại saoMicrosoft đưa ra như vậy là vì nó cho phép bạn kiểm soát thiết lập này vàthiết lập kế tiếp mà chúng tôi sẽ giới thiệu khi thiết lập chính sách nhóm đượckích hoạt.Thiết lập thứ hai cho phép người dùng hoãn và giải mã bảo vệ BitLocker trêncác thiết bị lưu trữ ngoài. Nói theo cách khác, bạn có thể kiểm soát việc chophép người dùng tắt BitLocker cho thiết bị lưu trữ ngoài.Cấu hình sử dụng thẻ thông minh trên các ổ đĩa lưu trữ ngoàiThiết lập chính sách nhóm này cho phép bạn có thể kiểm soát việc sử dụngthẻ thông minh như một cơ chế cho việc thẩm định người dùng trong việctruy cập vào nội dung được mã hóa bởi BitLocker. Nếu quyết định kích hoạtthiết lập Group Policy này, sẽ có một tùy chọn con mà bạn có thể sử dụng đểyêu cầu việc sử dụng thẻ thông minh. Nếu chọn tùy chọn này, người dùng sẽchỉ có thể truy cập các nội dung được mã hóa bởi BitLocker bằng cách sửdụng quá trình thẩm định bằng thẻ thông minh.Từ chối truy cập “Write” lên các ổ lưu trữ ngoài không được bảo vệ bởiBitLockerThiết lập “Deny Write Access to Removable Drives Not Protected ByBitLocker” là một trong những thiết lập Group Policy quan trọng có liênquan tới việc mã hóa thiết bị lưu trữ ngoài. Khi kích hoạt thiết lập này,Windows sẽ kiểm tra các thiết bị lưu trữ ngoài được kết nối với máy tính đểxem mã hóa BitLocker đã được kích hoạt hay chưa. Nếu BitLocker chưađược kích hoạt trên thiết bị, khi đó nó sẽ được xử lý ở trạng thái “read only”.Người dùng chỉ được nhận mức truy cập “write” nếu BitLocker được kíchhoạt trên thiết bị. Bằng cách này, ...